sexta-feira, novembro 22, 2024

Centro de roteamento e reparo para atualizar o conteúdo do Falcon

Deve ler

Atualizado em 21/07/2024 0023 UTC

CrowdStrike está ajudando ativamente os clientes afetados por uma recente falha de atualização de conteúdo para hosts Windows. Os hosts Mac e Linux não são afetados. O problema foi identificado, isolado e uma correção foi implantada. Este não foi um ataque cibernético.

Os clientes são aconselhados a verificar o portal de suporte para atualizações. Também continuaremos a fornecer as informações mais recentes aqui e em nosso blog assim que estiverem disponíveis. Recomendamos que as organizações verifiquem se estão se comunicando com os representantes da CrowdStrike por meio de canais oficiais.

Garantimos aos nossos clientes que a CrowdStrike está operando normalmente e que esse problema não afeta nossos sistemas da plataforma Falcon. Se os seus sistemas estiverem operando normalmente, não haverá impacto na proteção deles se um sensor Falcon for instalado.

Compreendemos a gravidade desta situação e pedimos sinceras desculpas pelo transtorno e transtorno. Nossa equipe está totalmente preparada para garantir a segurança e estabilidade dos clientes CrowdStrike.

Declaração do nosso CEO

Postado em 2024-07-19 1930 UTC

Nossos valiosos clientes e parceiros,

Gostaria de estender minhas sinceras desculpas a todos vocês pela interrupção. Todos na CrowdStrike entendem a seriedade e o impacto da situação. Identificamos rapidamente o problema e implantamos uma solução, o que nos permitiu focar diligentemente na restauração dos sistemas dos clientes como nossa principal prioridade.

A interrupção foi causada por um bug descoberto na atualização de conteúdo do Falcon para hosts Windows. Os hosts Mac e Linux não são afetados. Este não foi um ataque cibernético.

Estamos trabalhando em estreita colaboração com os clientes e parceiros afetados para garantir que todos os sistemas sejam restaurados, para que você possa fornecer os serviços nos quais seus clientes confiam.

READ  Nações Unidas: Pelo menos 100 pessoas morreram em consequência de fortes terramotos que atingiram o oeste do Afeganistão

CrowdStrike está operando normalmente e esse problema não afeta nossos sistemas da plataforma Falcon. Não há impacto em qualquer proteção se um sensor Falcon estiver instalado. Os serviços Falcon Complete e Falcon OverWatch não estão desativados.

Forneceremos atualizações contínuas através do nosso portal de suporte em https://supportportal.crowdstrike.com/s/login/.

Mobilizamos toda a equipe da CrowdStrike para ajudar você e sua equipe. Se você tiver dúvidas ou precisar de suporte adicional, entre em contato com seu representante ou suporte técnico da CrowdStrike.

Sabemos que adversários e agentes maliciosos tentarão explorar eventos como este. Peço a todos que fiquem vigilantes e entrem em contato com os representantes oficiais da CrowdStrike. Nosso blog e suporte técnico continuarão sendo os canais oficiais para as atualizações mais recentes.

Não há nada mais importante para mim do que a confiança que nossos clientes e parceiros depositam na CrowdStrike. Enquanto trabalhamos para resolver este incidente, comprometo-me a fornecer total transparência sobre como isso aconteceu e as medidas que estamos tomando para evitar que algo assim aconteça novamente.

George Kurtz

Fundador e CEO da CrowdStrike

Detalhes técnicos

  • Detalhes técnicos da interrupção podem ser encontrados aqui: Leia o blog Postado em 19/07/2024 01:00 UTC
  • Garantimos aos nossos clientes que CrowdStrike está funcionando normalmente e esse problema não afeta nossos sistemas da plataforma FalconSe seus sistemas estiverem operando normalmente, não haverá impacto em sua proteção se o Sensor Falcon estiver instalado. Os serviços Falcon Complete e Overwatch não foram desativados devido a este incidente.
  • A CrowdStrike identificou o gatilho para esse problema como a postagem de conteúdo relacionado a um sensor do Windows e revertemos essas alterações. O conteúdo é um arquivo de canal localizado no diretório %WINDIR%\System32\drivers\CrowdStrike.
    • O arquivo de canal “C-00000291*.sys” com uma tag de tempo de 19/07/2024 0527 UTC ou posterior é a versão retornada (boa).
    • O arquivo de canal “C-00000291*.sys” com uma tag de tempo de 19/07/2024 0409 UTC é a versão que apresenta um problema.
    • Nota: É normal ter vários arquivos “C-00000291*.sys” no diretório CrowdStrike – desde que Um Se um arquivo na pasta tiver uma marcação de horário de 05:27 UTC ou posterior, este será o conteúdo ativo.
  • Os sintomas incluem hosts que apresentam um erro de verificação de bug/tela azul relacionado ao sensor Falcon.
  • Hosts Windows que possuem não Os problemas afetados não requerem nenhuma ação, pois o arquivo do canal problemático foi retornado.
READ  Cortador da Guarda Costeira dos EUA nega acesso ao porto nas Ilhas Salomão

Hosts não afetados

  • Os hosts do Windows conectados à Internet após 19/07/2024 0527 UTC não serão afetados.
  • Este problema não afeta hosts que executam Mac ou Linux

Como posso identificar hosts afetados?

Como posso identificar os hosts afetados por meio de uma consulta de pesquisa avançada de eventos? Atualizado em 21/07/2024 0023 UTC

Consulte este artigo da base de conhecimento: Como identificar hosts que podem ser afetados por uma falha do Windows (arquivo pdf) ou Faça login para visualizar o portal de suporte.

Como identifico os hosts afetados por meio do painel?

Está disponível um painel que exibe canais afetados, IDs de clientes e sensores afetados. Dependendo das suas assinaturas, ele estará disponível no menu do console:

  • SIEM de próxima geração > Gerenciamento de registros > Painel, ou;
  • Investigação > Painéis
  • Foi nomeado após: Hosts_may_be_affected_by_window_crashes
    • Nota: O painel não pode ser usado com o botão Live

Se os hosts continuarem travando e não conseguirem permanecer online para receber a atualização do arquivo do canal, é possível usar as etapas de reparo abaixo.

Como faço para corrigir hosts únicos?

  • Reinicie a máquina host para ter a oportunidade de baixar o arquivo do canal de retorno. É altamente recomendável colocar o dispositivo host em uma rede com fio (em vez de WiFi) antes de reinicializar, pois o dispositivo host será capaz de obter uma conexão à Internet mais rápida via Ethernet.
  • Se o host travar novamente na reinicialização, veja isto Artigo da Microsoft Para etapas detalhadas.
    • Nota: Os hosts criptografados com Bitlocker podem exigir uma chave de recuperação.

Como recupero chaves do Bitlocker? Atualizado em 2024-07-20 2259 UTC

Como recuperar recursos do ambiente baseado em nuvem

Ambiente de nuvem orientação

Amazon Web Services

Artigo AWS

céu azul

Artigo da Microsoft

JCB

(PDF) ou Faça login para visualizar o portal de suporte

Ambientes de nuvem pública/virtual

Opção 1:

  • ​​​​​​​​Desconecte o volume do disco do sistema operacional do servidor virtual afetado
  • Crie um instantâneo ou backup do volume do disco antes de prosseguir, como precaução contra alterações não intencionais
  • Vincule/monte o volume em um novo servidor virtual
  • Navegue até o diretório %WINDIR%\System32\drivers\CrowdStrike
  • Selecione o arquivo correspondente a “C-00000291*.sys” e exclua-o
  • Desconectando o volume do novo servidor virtual
  • Reconecte o volume persistente ao servidor virtual afetado

Opção 2:

  • Retornar ao instantâneo antes de 19/07/2024 0409 UTC
READ  Aumento da pressão sobre a Alemanha para fornecer à Ucrânia mísseis de longo alcance

Informações do vendedor terceirizado Atualizado em 2024-07-20 2259 UTC

Recursos adicionais

Últimos artigos